Buenas!
El tema del L2TP, como te digo, si preparas un script con las rutas y se lo pasas a los empleados, y les dices que desmarquen el "use default gateway" de la conexión L2TP, ya lo tienes. Chutarían por el túnel únicamente lo enrutado y listo; el resto de su trafico se queda en local. Además, se les puede preparar un .bat que ejecuten cuando se conecten, o simplemente asegurarte de que ninguno usa esos segmentos de red en casa y añadir las rutas como persistentes, si los equipos que manejan son equipos de trabajo, propiedad de la empresa. Te dejo información al respecto, como ves no es complejo:
https://webhostinggeeks.com/howto/how-to-add-persistent-static-routes-in-windows/
En tu caso las rutas (persistentes o no, con el "-p") vendrían a ser algo así:
Código:
route add 192.168.105.0 mask 255.255.255.0 192.168.6.1
route add 192.168.106.0 mask 255.255.255.0 192.168.6.1
Te lo digo porque migrar a IKEv2 es tedioso, especialmente en windows, porque no soporta autenticación más que con certificados cliente, y no puedes hacer un identity que autentique sólo con una password y el certificado del servidor (en Mac, por ejemplo, sí se puede). Y, puestos a migrar, los pasamos a WireGuard en cuanto subas a la v7. Me gusta mucho IKEv2, pero sinceramente es para pensárselo dos veces, mírate los manuales al respecto, y verás por qué lo digo. Lo comparas con cómo montas WireGuard y me voy de cabeza a por el segundo.
Vale, tema router: lo tienes bastante fino, aunque se puede ir limpiando config. Cuando tengas el switch instalado dime, que le damos una vuelta.
Con respecto a las colas, revisando todo lo pasa por el router, excluyendo usuarios de admin y vlan-base, que entendemos no van a tener prácticamente tráfico, me sale todo esto a encolar:
Subredes
192.168.6.0/24 - vpn-empleados
192.168.7.0/24 - vpn-juncaril
192.168.100.0/24 - tunel-simotril
192.168.105.0/28 - servidores
192.168.106.0/24 - empleados
192.168.107.0/24 - coworking
192.168.108.0/29 - seguridad
192.168.200.0/23 - invitados
Como ves, hay que considerar también las VPN y los que vienen del otro lado del IPIP, puesto que estos también consumen ancho de banda de la conexión a internet.
Lo primero que vamos a hacer es volver a activar el fasttrack en el firewall, pero esta vez hacerlo únicamente entre las redes de empleados servidores, esa conexión no queremos que pase por las colas, puesto que es local y no consume ancho de banda externo. Modificaríamos esta regla que ahora mismo tienes comentada:
Código:
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related disabled=yes
Por esta otra
Código:
add action=fasttrack-connection chain=forward comment="fasttrack: empleados - servers" \
connection-state=established,related src-address=192.168.106.0/24 dst-address=192.168.105.0/24
Hecho esto, estarías en disposición de armar las colas. La primera que tendríamos que definir es la cola padre, que contiene los límites de velocidad de la conexión. Si la conexión que tenéis es de 600 en lugar de 300, y te da 595 de velocidad en los tests, vayámonos a esa cifra o muy cercana para montar la cola padre: 590Mbps de subida/bajada. Además, cuando montes la segunda conexión, si tiene la misma velocidad (ojo con esto, que sino hay que redefinir esto), vais a ir muchísimo más sobrado, puesto que vamos a montar un failover que cubriría todo el tráfico si ambas conexiones son iguales, pero además va a partir el tráfico de los externos que, mientras pueda, lo sacará por la segunda conexión. Los míminos garantizados no cambiarán, pero sí que lo harán los máximos alcanzables, puesto que habrá el doble de ancho de banda disponible. Con todo y con eso, la cola general quedaría así:
Código:
/queue simple
add max-limit=590M/590M name=Total target=192.168.0.0/16
Como ves, hemos sumarizado todas las redes de un plumazo, utilizando un /16 para ello. Todo tráfico que caiga dentro de ese macro-grupo, se pasará a cada una de las colas hijas, las que irán filtrando ya por la subred correspondiente, aplicando los límites máximos y garantizados para subida y bajada.
Luego, después de darle muchas vueltas, voy a simplificar esto al máximo, porque como te digo, cuando te lías a tocar colas, la cosa la puedes complicar lo que te de la gana. Tiempo tendremos después de irlo afinando hasta dónde queramos. Siguiendo tu ejemplo, he montado esta tabla, a ver qué te parece:
| Subred | Descripción | MIR Upload | MIR Download | CIR Upload | CIR Download | Prioridad |
|---|
| 192.168.6.0/24 | VPN empleados | 200Mbps | 100Mbps | 80Mbps | 25Mbps | 7 |
| 192.168.7.0/24 | VPN juncaril | 100Mbps | 50Mbps | 40Mbps | 15Mbps | 7 |
| 192.168.100.0/24 | Túnel simotril | 300Mbps | 300Mbps | 50Mbps | 50Mbps | 7 |
| 192.168.105.0/28 | Servidores | 300Mbps | 200Mbps | 80Mbps | 50Mbps | 6 |
| 192.168.106.0/24 | Empleados | 250Mbps | 500Mbps | 50Mbps | 100Mbps | 6 |
| 192.168.107.0/24 | Coworking | 200Mbps | 400Mbps | 30Mbps | 80Mbps | 8 |
| 192.168.108.0/29 | Seguridad | 100Mbps | 50Mbps | 50Mbps | 30Mbps | 8 |
| 192.168.200.0/23 | Invitados | 100Mbps | 300Mbps | 20Mbps | 50Mbps | 8 |
Las prioridades (8 la menor, y subiendo hasta el 1 que es la más prioritaria), significan que, una vez satisfechos los CIR de todas las subredes, las subredes de empleados y servidores tendrán prioridad en alcanzar sus MIR's, por delante de las VPN's y el túnel simotril, a su vez por delante de coworking, seguridad e invitados. Si sumas los CIR's, verás que nos quedamos en 400Mpbs. Lo hice así pensando en dejar hueco para crecer, o modificar esas colas a posteriori. Pero, sinceramente, si ahora te funciona como un tiro, cuando implementes esto, vas a funcionar como tiro y medio. No creo que tengas ni que tocarlo. Pero, por si acaso, ahí está.
Como te comenté, dado tu pequeño volumen de usuarios, las colas de prioridad PCQ por defecto (pcq-upload-default/pcq-download-default), nos bastan para manejar los clientes que va a tener cada subred, salvo al red de invitados. Esas colas vienen con un buffer de 2000KB y 50KB por cada substream o cola fifo (info:
https://help.mikrotik.com/docs/display/ROS/Queues#Queues-PCQ), es decir, pueden manejar con soltura hasta 40 usuarios (divide el tamaño total del buffer de cola general entre el tamaño de cada cola fifo; 2000/50 = 40 usuarios). A partir de los cuarenta, te quearías sin buffer total para repartir, y los clientes del cuarenta en adelante empezarían a tener problemas para recibir lo que les toca del pastel. Como te dije estas colas son inteligentes, quiere decir que si hay un cliente conectado, tendrá el CIR/MIR para él solito. Si hay 10, cada uno tendrá la décima parte del CIR/MIR...y así. Además, no cuentan al usuario por conexión, sino cuando efectivamente está demandando tráfico, cosa que hace el reparto mucho más equitativo.
Con estos requisitos, lo primero que tendríamos que hacer es crear la cola
pcq-upload-invitados y
pcq-download-invitados, con los valores apropiados. Para no tener que hacer la cola total tan grande, reduciré el tamaño de las sub-colas fifo a 25KB. Considerando albergar unos 500 usuarios, nos saldría un tamaño total de la cola PQC de 12500KB. Esa cola se va a tragar, cuando esté a full, casi 27MB de RAM del cacharro, mientras que el resto de colas pqc-default se tragarán 4,3MB cada una. Considerando que tenemos 7 colas por defecto más la grande, tendríamos que nos vamos a zampar (4,3 * 7) + 27 ~ 57 MB de RAM cuando esto esté demandando tráfico a tope. Como ves, es importante tender esto en cuenta con respecto a los equipos a usar. En tu caso, con un equipo que tine 2GB de RAM y es multicore... cosquillas.
Al lío, cremos la cola pcq para invitados:
Código:
/queue type
add name=pcq-upload-invitados copy-from=pcq-upload-default pcq-limit=25 pcq-total-limit=12500
add name=pcq-download-invitados copy-from=pcq-download-default pcq-limit=25 pcq-total-limit=12500
Y daríamos de alta todas las colas, asociadas a la cola padre "Total"
Código:
/queue simple
add target=192.168.6.0/24 name=vpn-empleados parent=Total priority=7/7 \
max-limit=200M/100M limit-at=80M/25M queue=pcq-upload-default/pcq-download-default
add target=192.168.7.0/24 name=vpn-juncaril parent=Total priority=7/7 \
max-limit=100M/50M limit-at=40M/15M queue=pcq-upload-default/pcq-download-default
add target=192.168.100.0/24 name=tunel-simotril parent=Total priority=7/7 \
max-limit=300M/300M limit-at=50M/50M queue=pcq-upload-default/pcq-download-default
add target=192.168.105.0/28 name=servidores parent=Total priority=6/6 \
max-limit=300M/200M limit-at=80M/50M queue=pcq-upload-default/pcq-download-default
add target=192.168.106.0/24 name=empleados parent=Total priority=6/6 \
max-limit=250M/500M limit-at=50M/100M queue=pcq-upload-default/pcq-download-default
add target=192.168.107.0/24 name=coworking parent=Total priority=8/8 \
max-limit=200M/400M limit-at=30M/80M queue=pcq-upload-default/pcq-download-default
add target=192.168.108.0/29 name=seguridad parent=Total priority=8/8 \
max-limit=100M/50M limit-at=50M/30M queue=pcq-upload-default/pcq-download-default
add target=192.168.200.0/23 name=invitados parent=Total priority=8/8 \
max-limit=100M/300M limit-at=20M/50M queue=pcq-upload-invitados/pcq-download-invitados
Y poco más, a la espera de tus comentarios, a ver qué tal funciona. Ya me contarás qué tal pinta el tema.
Saludos!
al grupo de cosas externas.
